[分享]微软官方的dll注入工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]微软官方的dll注入工具

2016-11-6 16:01 29999

[分享]微软官方的dll注入工具

cvcvxk

2016-11-6 16:01

29999

有签名，可以注入任意dll 到目标进程。
真的是不看不知道，一看吓一跳。
首先看一下是这么个东西

文件我打包上来了
Tracker.zip
比如
Tracker /d c:\samples\20161104\infected.dll /c c:\tools\whitelist\appluancher.exe

infected.dll是某使用这个的样本，白名单进程随便找的，tracker在win+R里输入就行了——

不过好像是因为我装了.net的sdk导致的可以单独的tracker跑起来...

infected的dll果然不能随便，逆向看了一下，顺手写个
infect_dll.zip
完整代码:
http://git.oschina.net/killvxk/infected_dll

效果图，毫无人性啊

PS：
我回来了。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#其他内容

上传的附件：

QQ图片20161106155524.png （33.11kb，84次下载）
Tracker.zip （65.54kb，967次下载）
infect_dll.zip （5.48kb，512次下载）
tu1.png （95.18kb，258次下载）
tu2.png （177.52kb，59次下载）

收藏・63

点赞・1

打赏

最新回复 (51) 1 2 3 ▶
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2016-11-6 16:13 2 楼 0 火钳刘明！
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:14 3 楼 0 先占个坑 dll那里好像只有样本那个成功了，等我稍后弄个sample dll
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 16:31 4 楼 0 官方链接在哪里？
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 16:35 5 楼 0 费尔 17.47.17308 1.0.2.2108 2016-11-05 Suspicious:Trojan.Girtk.HXU.eyiz.mg 6
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 16:37 6 楼 0 好东西呀老V 上传的附件： QQ图片20161106163532.png （140.97kb，310次下载）
renminbi 雪币： 327 活跃值： (784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2016-11-6 16:45 7 楼 0 FileTracker : ERROR : Could not load UI satellite dll 'TrackerUI.dll'. Make sur e it exists in an LCID subdirectory of 'D:\Tracker\'.
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:48 8 楼 0 等会翻一下你可以自己装一个.net看看
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 16:48 9 楼 0 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? 上传的附件： QQ图片20161106164354.png （100.66kb，64次下载）
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 2016-11-6 16:51 10 楼 0 360又要升级啦~！
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:52 11 楼 0 [QUOTE=安于此生;1451697] 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? [/QUOTE] 文件被杀后，VS会报错哦，非常经典的错误： error : Required file tracker.exe is missing
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:54 12 楼 0 缺点就是 tracker只能注入tracker自己启动的进程...
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 2016-11-6 16:55 13 楼 0 那没什么用啊，只能自己启动注入，要是有实时注入和注入已加载的进程就爽了
renminbi 雪币： 327 活跃值： (784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2016-11-6 16:58 14 楼 0 运行C:\Program Files (x86)\MSBuild\12.0\Bin\Tracker.exe infected_dll已注入进程中。
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:58 15 楼 0 还可以挖掘一下，微软的工具好多好多,有些工具，只见其文件不知其用。
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:01 16 楼 0 你开发的程序，为何说是官方的：（差评
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 12 关注私信	gmhzxy 2016-11-6 17:02 17 楼 0 这很老V
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 17:04 18 楼 0 本来就是官方的，你不会看签名？全微软签名，baidu搜索，google搜索文件都是描述为微软的。我开发啥...呵呵我只是写个infected的dll的代码，工具依然是微软的。
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 2016-11-6 17:10 19 楼 0 鸡肋～～～～～～～～～～～
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:17 20 楼 0 官方链接贴出来啊，表示搜tracker 没搜到
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 17:21 21 楼 0 在自己的机器里面搜索...
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:23 22 楼 0 tracker 'tracker' 不是内部或外部命令，也不是可运行的程序或批处理文件。明显不是系统自带的啊
friendanx 雪币： 7614 活跃值： (1970) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 2016-11-6 17:26 23 楼 0 看到V校的帖子，肚子不饿了
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 2016-11-6 17:51 24 楼 0 给大神跪了
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 18:15 25 楼 0 everything搜索,你连visual studio都不安装... 222333
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]不小心看到系列：IFEO的另一个使用方式

[分享]很有时间系列：一种比较奇怪的启动方法

[分享]很有时间系列：不用inf安装ndis filter驱动

[分享]很有时间系列：解决noimage驱动注册Minifilter的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2016-11-6 16:13 2 楼 0 火钳刘明！
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:14 3 楼 0 先占个坑 dll那里好像只有样本那个成功了，等我稍后弄个sample dll
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 16:31 4 楼 0 官方链接在哪里？
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 16:35 5 楼 0 费尔 17.47.17308 1.0.2.2108 2016-11-05 Suspicious:Trojan.Girtk.HXU.eyiz.mg 6
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 16:37 6 楼 0 好东西呀老V 上传的附件： QQ图片20161106163532.png （140.97kb，310次下载）
renminbi 雪币： 327 活跃值： (784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2016-11-6 16:45 7 楼 0 FileTracker : ERROR : Could not load UI satellite dll 'TrackerUI.dll'. Make sur e it exists in an LCID subdirectory of 'D:\Tracker\'.
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:48 8 楼 0 等会翻一下你可以自己装一个.net看看
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 16:48 9 楼 0 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? 上传的附件： QQ图片20161106164354.png （100.66kb，64次下载）
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 2016-11-6 16:51 10 楼 0 360又要升级啦~！
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:52 11 楼 0 [QUOTE=安于此生;1451697] 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? [/QUOTE] 文件被杀后，VS会报错哦，非常经典的错误： error : Required file tracker.exe is missing
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:54 12 楼 0 缺点就是 tracker只能注入tracker自己启动的进程...
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 2016-11-6 16:55 13 楼 0 那没什么用啊，只能自己启动注入，要是有实时注入和注入已加载的进程就爽了
renminbi 雪币： 327 活跃值： (784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 2016-11-6 16:58 14 楼 0 运行C:\Program Files (x86)\MSBuild\12.0\Bin\Tracker.exe infected_dll已注入进程中。
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 16:58 15 楼 0 还可以挖掘一下，微软的工具好多好多,有些工具，只见其文件不知其用。
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:01 16 楼 0 你开发的程序，为何说是官方的：（差评
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 12 关注私信	gmhzxy 2016-11-6 17:02 17 楼 0 这很老V
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 228 关注私信	cvcvxk 10 2016-11-6 17:04 18 楼 0 本来就是官方的，你不会看签名？全微软签名，baidu搜索，google搜索文件都是描述为微软的。我开发啥...呵呵我只是写个infected的dll的代码，工具依然是微软的。
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 2016-11-6 17:10 19 楼 0 鸡肋～～～～～～～～～～～
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:17 20 楼 0 官方链接贴出来啊，表示搜tracker 没搜到
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 17:21 21 楼 0 在自己的机器里面搜索...
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2016-11-6 17:23 22 楼 0 tracker 'tracker' 不是内部或外部命令，也不是可运行的程序或批处理文件。明显不是系统自带的啊
friendanx 雪币： 7614 活跃值： (1970) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 2016-11-6 17:26 23 楼 0 看到V校的帖子，肚子不饿了
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 2016-11-6 17:51 24 楼 0 给大神跪了
安于此生雪币： 2662 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 187 关注私信	安于此生 34 2016-11-6 18:15 25 楼 0 everything搜索,你连visual studio都不安装... 222333
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复